cbq: class-based queuing

CBQ: Class-Based QueuingCBQ: Class-Based Queuing

• Class-Based Tree

Root100 Mbps

TCP60 Mbps UDP

40 Mbps

ICMP0Mbps

HTTP30 Mbps

FTP30 Mbps

SentidoSentido

• As regras se aplicam de forma diferente de acordo com o sentido do pacote.

• Existe uma árvore diferente para cada sentido em cada porta do roteador.

CBQ.1

Inbound: root-input-tree

Outbound: root-output-tree

ROTEADOR CBQ.2

Inbound: root-input-tree

Outbound: root-output-tree

ComandosComandos

• config cbq.1 traffic-class.tcpin protocols tcp parent root-input-tree[ bandwidth-allocation 500000bounded falsemaxbandwidth 6000000priority 1]

• config cbq.1 traffic-class.root-input-treerow-status active

ComandosComandos

• Regra para subrede:– config cbq.1 traffic-class.bancada1

src-ip-addresses 192.168.1.0-192.168.1.20 parent root-input-tree

• Regra de bloqueio:– config cbq.2 traffic-class.udp protocols udp

parent root-input-treebandwidth-allocation 0 bounded true.

• Regra default: (não precisa criar ...)– config cbq.1 traffic-class.other-default

parent root-input-treebandwidth-allocation 0 bounded true

Verificação e AlteraçãoVerificação e Alteração

• show cbq.1 traffic-filters summary

• delete cbq.1 traffic-filter.bancada1

Opções de FiltroOpções de Filtro

• Endereços IP:– src-ip-addresses ip_inicio-ip_fim– dest-ip-addresses ip_inicio-ip_fim

• Portas:– src-ports porta_inicio-porta_fim– dst-port porta_inicio-porta_fim

Opções de FiltroOpções de Filtro

• applications sigla– http, ftp, smtp, etc.– traffic-class.http-out

applications http– traffic-class.http-return

aplications httpEstablished

• protocols sigla ou número– traffic-class.TCP-out protocols TCP– traffic-class.TCPUDP protocols 6-17

Applicações StatefullApplicações Statefull

• allTcp, allTcpEstablished

• allUdp, allUdpEstablished

• allIcmp, allIcmpEstablished

• ftp, ftpEstablished

• http, httpEstablished

• telnet, telnetEstablished

ExemploExemplo

• Criar uma entrada root ativa:– config cbq.1 traffic-class.root-input-tree

row-status active

• Para permitir o tráfego:– config cbq.1.traffic-class.smtp-out parent

root-input-tree applications smtp– config cbq.2.traffic-class.smtp-return

parent root-input-tree applications smtpEstablished

OperadoresOperadores

• operator and

• operator or– config cbq.1 traffic-class.httpserver src-ip-

addresses 192.168.1.2 protocols tcp operator and

ExemploExemplo

• config cbq.3 traffic-class.respostaHTTP – src-ports 80 parent root-input-tree (** ERRADO **)

• config cbq.3 traffic-class.respostaHTTP – src-ports 80 applications allTcpEstablished– parent root-input-tree

roteadorBancada 1 Bancada 2

cbq.3

cliente Servidor HTTPresposta

CenárioCenário

SW1 R1

SW2 R2

SW3 R3

SW4 R4

rede interna 1(192.168.1.0/24)

dmz 1(192.168.2.0/24)

dmz 2(192.168.3.0/24)

rede interna 2(192.168.4.0/24)

internet

192.168.1.1

192.168.2.1

192.168.4.1

192.168.3.1

192.168.2.2

192.168.4.2

192.168.0.5

192.168.0.6

Indentifique as Interfaces na sua redeIndentifique as Interfaces na sua rede

SW1 R1

SW2 R2

rede internaIP:

Mascara:

dmzIP:

Mascara

Internet

cbq.root-input-tree

cbq.root-input-tree

cbq.root-input-tree

cbq.root-input-tree

Considere que os seguintes serviços Considere que os seguintes serviços estão disponíveis na DMZestão disponíveis na DMZ

• SMTP: TCP 25 e IP:

• POP3: TCP 110 e IP:

• HTTP: TCP 80 e IP:

• DNS: UDP 53 e IP:

• FTP: TCP 21 e IP:

Pacotes rede Interna-DMZ Pacotes rede Interna-DMZ

1. HTTPreq: config cbq.

2. POP3req: config cbq.

3. SMTPreq: config cbq.

4. DNSreq: config cbq.

5. FTPreq: config cbq.

Pacotes DMZ-Rede Interna Pacotes DMZ-Rede Interna

1. HTTPresp: config cbq.

2. POP3resp: config cbq.

3. SMTPresp: config cbq.

4. DNSresp: config cbq.

5. FTPresp: config cbq.

Pacotes DMZ-Internet (requisições)Pacotes DMZ-Internet (requisições)

1. HTTPRIreq: config cbq.

2. FTPRIreq: config cbq.

3. SMTPDMZreq: config cbq.

4. DNSDMZreq: config cbq.

Pacotes DMZ-Internet (respostas)Pacotes DMZ-Internet (respostas)

1. HTTPDMZresp: config cbq.

2. FTPDMZresp: config cbq.

3. SMTPDMZresp: config cbq.

4. DNSDMZresp: config cbq.

Pacotes Internet-DMZ (requisições)Pacotes Internet-DMZ (requisições)

1. HTTPREreq: config cbq.

2. FTPREreq: config cbq.

3. SMTPREreq: config cbq.

4. DNSREreq: config cbq.

Pacotes Internet-DMZ (respostas)Pacotes Internet-DMZ (respostas)

1. HTTPREresp: config cbq.

2. FTPREresp: config cbq.

3. SMTPREresp: config cbq.

4. DNSREresp: config cbq.

TestesTestes

• Para simular os servidores na bancada DMZ:– jview mserver porta– Exemplo: jview mserver 21

• Para simular os clientes nas bancadas internas:– jview cliente IPServidor PortaServidor– Exemplo: jview cliente 192.168.1.7 21

• Para simular ataques por spoofing de porta:– jview cliente IPServidor PortaServidor PortaCliente– Exemplo: jview cliente 192.168.1.7 8080 21

VerificaçõesVerificações

1. Os clientes da rede interna conseguem acessar aos servidores na DMZ local?

2. Os clientes da rede interna conseguem acessar aos servidores na DMZ remota?

3. Outras portas de serviços não autorizados estão bloqueadas? Exemplo: ICMP, telnet, etc. Simule este teste criando um servidor telnet na DMZ.

4. Suas regras estão protegidas contra spoofing de porta?